Персональные данные. Дайджест за 15 ноября - 11 декабря 2024 г.

ЗАКОНОПРОЕКТЫ, НОРМОТВОРЧЕСТВО

Опубликован закон об оборотных штрафах для компаний за повторную утечку персональных данных

С 30 мая 2025 года вступает в силу Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», предусматривающий введение административных штрафов за утечкуУтечка персональных данных (здесь и далее) – неправомерная или случайная передача (предоставление, распространение, доступ) персональных данных. персональных данных, а также увеличение действующих штрафов за нарушения требований к обработке персональных данных. Среди ключевых изменений: 

Введение новых административных штрафов за нарушения, допущенные при обработке персональных данных:

• за неуведомление Роскомнадзора о намерении осуществлять обработку персональных данных – от 100 000 до 300 000 руб.;
• за неуведомление Роскомнадзора об утечке персональных данных – от 1 000 000 до 3 000 000 руб.;
• за утечки персональных данных – от 3 000 000 до 20 000 000 руб. (за повторную утечку – оборотные штрафы в размере от 1% до 3% выручки, но не менее 20 000 000 руб. и не более 500 000 000 руб.);
• за нарушение порядка обработки биометрических персональных данных в единой биометрической системе или в иных информационных системах – от 500 000 до 2 000 000 руб.;
• за отказ в заключении договора с потребителем в связи с его отказом от прохождения идентификации/аутентификации с использованием биометрических персональных данных – от 200 000 до 500 000 руб.

Добавление перечней смягчающих и отягчающих обстоятельств, учитываемых при назначении наказания за повторную утечку персональных данных.

3. Увеличение штрафов за обработку персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных – от 150 000 до 300 000 (за повторное нарушение – 500 000) руб.

(Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Феде-рации об административных правонарушениях»)

30.11.2024 г. Официальное опубликование правовых актов

Вступил в силу закон об уголовной ответственности за незаконное использование компьютер-ной информации, содержащей персональные данные

Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» вводит в УК РФ новую статью 272.1 «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные, а равно создание и (или) обеспечение функционирования информационных ресурсов, предназначенных для ее незаконных хранения и (или) распространения».

Статья предусматривает наказание в виде лишения свободы на срок до 10 лет со штрафом в размере до 3 000 000 руб. если деяния, предусмотренные частями 1, 2, 3 или 4 данной статьи, повлекли тяжкие последствия либо совершены организованной группой. Также введено наказание за совершение деяний, предусмотренных частями 1, 2 или 3 данной статьи, сопряженных с трансграничной передачей компьютерной информации, содержащей персональные данные, и трансграничным перемещением носителей информации, содержащих персональные данные.

Действие статьи не распространяется на случаи обработки персональных данных физическими лицами исключительно для личных и семейных нужд. (Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации»)

30.11.2024 г. Официальное опубликование правовых актов

Опубликован доработанный проект Приказа Минцифры России «О внесении изменения в перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, утвержденный приказом Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации от 15 ноября 2021 г. № 1187» 

Перечень индикаторов риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных, предлагается дополнить пунктом: 

«5. Наличие у контролирующего органа информации о двух и более случаях в течение календарного года трансграничной передачи персональных данных при помощи программных средств, владельцем которых является иностранное юридическое лицо или иностранное физическое лицо, функционал которых предполагает передачу персональных данных, со стороны контролируемого лица, которое не уведомляло контролирующий орган о своём намерении осуществлять трансграничную передачу персональных данных». 

Подробнее об индикаторах риска нарушения обязательных требований при осуществлении федерального государственного контроля (надзора) за обработкой персональных данных читайте в нашем алерте.

22.11.2024 г. Федеральный портал проектов нормативных правовых актов

СУДЕБНАЯ ПРАКТИКА И АДМИНИСТРАТИВНЫЕ ДЕЛА

Арбитражный суд Пензенской области признал гражданина банкротом и обязал предоставить доступ к персональным данным

Арбитражный суд Пензенской области 18 ноября 2024 года по делу № А49-10501/2024 признал гражданина банкротом и ввел процедуру реализации имущества. Решение вынесено на основании установленных признаков неплатежеспособности и недостаточности имущества должника.
 
Суд предоставил финансовому управляющему право запрашивать персональные данные должника, его супруги, несовершеннолетних детей и иных родственников. В перечень разрешенных данных входят сведения из реестров движимого и недвижимого имущества, ЗАГС, банков и других государственных органов. Это право основано на п. 7 ст. 213.9 Федерального закона от 26.11.2002 № 127-ФЗ «О несостоятельности (банкротстве)». При этом суд напомнил управляющему о необходимости строгого соблюдения конфиденциальности данных, что предусмотрено Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». Суд указал, что обработка таких данных без согласия субъекта правомерна, если она необходима для достижения целей конкурсного производства, таких как выявление и сохранение имущества должника для удовлетворения требований кредиторов.

18.11.2024 г. СПС Гарант

Суд обязал УМВД раскрыть данные должника в рамках дела о банкротстве

Арбитражный суд Дальневосточного округа 15 ноября 2024 года по делу № А73-4277/2024 оста-вил в силе решения нижестоящих судов, признав отказ УМВД России по Хабаровскому краю в предоставлении данных финансовому управляющему незаконным. Управление отказалось предоставить информацию о транспортных средствах должника и его бывшей супруги, потребовав их личного присутствия.

Суд указал, что финансовый управляющий действует в рамках Федерального закона от 26.10.2002 № 127-ФЗ «О несостоятельности (банкротстве)» и имеет право запрашивать персональные данные должников и членов их семей. Такие сведения, включая данные о транспортных средствах, необходимы для формирования конкурсной массы и удовлетворения требований кредиторов.

Согласно статьям 6 и 9 Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, согласие субъекта не требуется, если обработка данных осуществляется для исполнения судебного акта или в рамках процедур, установленных законом. Суд подчеркнул, что действия управляющего должны сопровождаться строгим соблюдением конфиденциальности.

Данное решение подтверждает право финансового управляющего на доступ к информации, не-обходимой для эффективного проведения процедур банкротства, и устанавливает недопустимость препятствования со стороны государственных органов.

15.11.2024 г. СПС Гарант 

НОВОСТИ И СОБЫТИЯ

На Урале оштрафовали микрокредитную компанию за разглашение персональных данных 

В Каменске-Уральском микрокредитная компания оштрафована на 50 тыс. рублей за незаконное раскрытие персональных данных. Коллекторы отправляли требования об оплате долга заведующей детского сада на рабочую электронную почту учреждения.  

По закону раскрытие сведений о задолженности и других личных данных третьим лицам запрещено. Нарушение привело к административному штрафу, который компания уже оплатила.

06.12.2024 г. Комерсантъ

Роскомнадзор предложил ограничить сбор персональных данных

Роскомнадзор (РКН) предложил профильным министерствам составить стандартизированные шаблоны для сбора персональных данных по отраслям и провести общую ревизию правовых оснований для сбора этой информации. С такой инициативой выступил замруководителя службы Милош Вагнер на дискуссии «Развитие законодательного регулирования в области информационной безопасности» в Госдуме 25 ноября.

26.112024 г. Ведомости 

В согласии на обработку данных предложили закрепить норму об использовании ИИ

В России была предложена поправка в законопроект о согласии на обработку персональных данных, которая вводит норму об использовании искусственного интеллекта (далее – ИИ). Инициаторы этого предложения — лидер партии «Новые люди» Алексей Нечаев и первый зампредседателя комитета Госдумы по информационной политике Антон Ткачев. Они подчеркивают, что необходимо четко определить регламентацию применения ИИ для обработки персональных данных, чтобы защитить права граждан. 

Поправка призвана создать правовую основу для использования технологий ИИ, что особенно актуально в условиях активной цифровизации различных сфер жизни. Авторы инициативы считают, что такая регламентация будет способствовать повышению прозрачности и ответственности в использовании технологий. Это нововведение должно упростить процесс обработки данных, сохранив при этом гарантии и права пользователей. Отметим, что данная инициатива уже вызвала интерес и обсуждение среди представителей различных ведомств и общественных организаций.

22.11.2024 г. ТАСС